-- Aaron Kili
本文导航
-ServerSignature16%
-ServerTokens28%
编译自: http://www.tecmint.com/hide-apache-web-server-version-rmation/当远程请求发送到你的 Apache Web 服务器时,在默认情况下,一些有价值的信息,如 web 服务器版本号、服务器操作系统详细信息、已安装的 Apache 模块等等,会随服务器生成的文档发回客户端。
这给攻击者利用漏洞并获取对 web 服务器的访问提供了很多有用的信息。为了避免显示 web 服务器信息,我们将在本文中演示如何使用特定的 Apache 指令隐藏 Apache Web 服务器的信息。
两个重要的指令是:
ServerSignature
这允许在服务器生成的文档(如错误消息、modproxy 的 ftp 目录列表、mod 输出等等)下添加一个显示服务器名称和版本号的页脚行。
它有三个可能的值:
On
Off
ServerTokens
它决定了发送回客户端的服务器响应头字段是否包含服务器操作系统类型的描述和有关已启用的 Apache 模块的信息。
此指令具有以下可能的值(以及在设置特定值时发送到客户端的示例信息):
ServerTokens Full (或者不指定)
发送给客户端的信息: Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2
ServerTokens Prod[uctOnly]
发送给客户端的信息: Server: Apache
ServerTokens Major
发送给客户端的信息: Server: Apache/2
ServerTokens Minor
发送给客户端的信息: Server: Apache/2.4
ServerTokens Min[imal]
发送给客户端的信息:Server: Apache/2.4.2
ServerTokens OS
发送给客户端的信息: Server: Apache/2.4.2 (Unix)
注意:在 Apache 2.0.44 之后,ServerTokens也控制由ServerSignature指令提供的信息。
隐藏apache版本号只返回服务器名 隐藏apache版本信息的 ***
